Kroatische Behörden wurden seit Februar mit einer unbekannten Malware namens SilentTrinity angegriffen. Man entdeckte diese erst im April.
Kroatische Regierungsbehörden wurden mit einer unbekannten Malware namens SilentTrinity angegriffen. Zwischen Februar und April diesen Jahres wurden zahlreiche Mitarbeiter der Postbehörde und anderer staatlicher Einrichtungen dazu aufgefordert, auf einer täuschend echt aussehenden Webseite eine mit Schadsoftware versehene Excel-Tabelle herunterzuladen.
SilentTrinity infizierte diverse PCs
Eine mysteriöse Hackergruppe hat zwischen Februar und April dieses Jahres kroatische Regierungsmitarbeiter angegriffen und höchstwahrscheinlich auch deren Hardware infiziert. Hacker, bei denen der Verdacht besteht, dass es sich um eine staatlich geförderte Einheit handelt, haben mit einer Speer-Phishing-Kampagne Opfer angegriffen. Dafür wurden Zustellbenachrichtigungen der kroatischen Post oder anderer Einzelhandelsunternehmen nachgeahmt. Die E-Mails enthielten einen Link zu einer remote Website mit einer ähnlichen URL. Dort wurden die Benutzer dazu aufgefordert, ein verseuchtes Excel-Dokument herunterzuladen.
Computer mit einer neuartigen Malware infiziert
Das Dokument hat man mit einem bösartigem Code übersät, den man als Makroskript getarnt hat. Den Quellcode von SilentTrinity hat man offenbar weitgehend aus dem Internet kopiert. So von verschiedenen Tutorials oder von Open-Source-Projekten, zu denen StackOverflow.com, Dummies.com, Issuuu.com, Rastamouse.me oder GitHub.com gehören. Sobald die Opfer das Makroskript aktivieren, lädt und installiert es die Malware auf die Systeme.
Bei diesen Angriffen wurden zwei verschiedene Arten von Malware-Nutzlasten erkannt. Der erste war die Empire Backdoor, eine Komponente des Empire Post-Exploitation Frameworks, einem Penetration Testing Tool. Das zweite war SilentTrinity, ein Werkzeug, ähnlich dem ersten.
In einer Präsentation auf der Sicherheitskonferenz der Positive Hack Days (PHDays) im Mai sagte Alexey Vishnyakov, Senior Specialist der IT-Sicherheitsfirma Positive Technologies, dies sei das erste Mal, dass ein Cyberkrimineller das SilentTrinity-Tool in einer aktiven Malware-Verteilungskampagne als Waffe eingesetzt habe.
Kroatische Regierung entdeckte Angriffe erst im April
In den ersten zwei Monaten hat man die Phishing-Angriffe via SilentTrinity nicht entdeckt. Dies gelang erst im April diesen Jahres. Das Information Systems Security Bureau (ZSIS) ist eine zentrale staatliche Behörde. Sie ist für die Cybersicherheit der staatlichen Stellen der Republik Kroatien zuständig. Diese gab schließlich zwei separate Warnungen über die Angriffe heraus. Das ZSIS teilte die Merkmale für die Sicherheitslücken, wie Dateinamen, Registrierungsschlüssel, URLs und IP-Adressen für die Command and Control Server (C&C) der Angreifer mit. Man bat die staatlichen Behörden, entsprechende Protokolle zu überprüfen und alle Computer auf mögliche Infektionen zu scannen.
„Die kroatische Post hat bereits Schritte unternommen, um die bösartigen Websites und Server zu entfernen. Aber beide Malware-Versionen sind derzeit aktiv„, sagte die Agentur. „Damit können Malware-Angriffe die Kontrolle über einen Computer übernehmen und beliebige Befehle unter der Aufsicht des Benutzers ausführen, der die XLS-Datei geöffnet und die Ausführung der Makrobefehle ermöglicht hat.“ In einem kürzlich veröffentlichten Bericht wies Vishnyakov auf bestimmte Verbindungen zwischen den in dieser Kampagne verwendeten C&C-Servern hin, die sich an kroatische Regierungsbehörden richten, so wie frühere Aktivitäten, bei denen Schadsoftware verbreitet wurde.
Russische Hacker wegen SilentTrinity verdächtigt
Das Wichtigste ist ein FireEye-Bericht über Hacker, die eine WinRAR-Schwachstelle verwenden, um Regierungsziele in der Ukraine mit der gleichen Empire-Hintertür und mit dem gleichen C&C-Server zu infizieren. FireEye hat diese Angriffe nie einer bestimmten Hackergruppe zugeschrieben.
Allerdings wurde deutlich, dass man die Ziele spezifisch für russische Hacker ausgelegt hat. Die Hacker sind seit dem Jahr 2014 aktiv, als russische Truppen in die Halbinsel Krim einmarschiert sind. Während Vishnyakov davon absah, diese Angriffe einem bestimmten Akteur zuzuordnen. Gleichzeitig stellte der Forscher fest, dass „die verfügbaren Daten über die verwendeten Hosts, Adressen und Domänen sowie die hohe Anzahl von Verbindungen zwischen ihnen einen großen Aufwand erfordern„.
Beitragsbild Michael Geiger, thx! (unsplash licence)
Tarnkappe.info